この記事の途中に、以下の記事の引用を含んでいます。
Are Cyber Defenders Winning? – Lawfare
サイバー攻撃vs.防御、攻守逆転の時代が来る?――この記事の全体概要
サイバーセキュリティというと今でも「サイバー犯罪者が日々進化し、攻撃が絶え間ない」「防御側は常に後手」というイメージが根強いです。
しかし、最新の調査やデータ分析からは意外な兆候が見え始めています。
今回紹介するLawfareの記事「Are Cyber Defenders Winning?」は、アメリカ最新の国家戦略や複数の業界ベンチマークを踏まえ、「サイバー防衛側の優位性が本当に高まり始めているのか?」を多角的に論じています。
この記事では、単なる事件件数や「脅威」の増減ではなく、
防御技術の進化
攻撃者の手口・効率の変化
被害規模や構造的変化
など“攻守双方のバランス”に着目。
そして「勝っている」かどうかは、単純な数値で測れない連鎖的・構造的な問題だと説明します。
「防御側が勝ち始めた」という論拠は本物か――記事の主張とデータから読み解く
記事の冒頭では、2025年6月にトランプ大統領(時点の設定上)が「アメリカの情報システムとネットワークの安全性と強靭性を高める」ためのサイバーセキュリティ政策を協調したことを指摘し、
さらに「サイバー防御側に利が移る兆しが見えている」とまで踏み込んでいます。
“After a decades-long slump, defenders may finally be gaining the advantage.”
(数十年もの逆風の後、防御側がついに優位を得たかもしれない)
このようにこれまで“常に脅威側の圧倒的有利”という定説を根底から問いなおしています。
さらに、メトリクス(指標)の氾濫や評価困難性についても次のように述べています。
“…we are drowning in metrics but still have a lack of measurability.”
(我々は数値に溺れながらも、いまだ「測定可能性」が欠如している)
たとえば検出された“ゼロデイ”攻撃の件数が1.5倍など、個々の数値だけでは脅威増か防御側の検出力向上の成果か判別しにくい、と繰り返し論じています。
「勝つ」とは何か?――サイバー空間“勝利”の再定義とその重要性
ゴールが曖昧な「仮想空間での勝利」
このパートはきわめて重要です。
記事は「勝つ」とは何かをこう問い返します。
“Winning in cyberspace can be a hazy concept since, unlike a soccer match, it is an invisible and never-ending competition.”
(サイバー空間における“勝利”は曖昧な概念だ。サッカーのような試合とは異なり、見えない終わりなき戦いだからだ)
つまり、単発の「勝ち負け」よりも、全体としてどちらに優位が移っているか(優位性の推移)を継続的かつ相対的にみる視点こそが肝要なのです。
システム全体の“優位性”を評価
1970年代の“部屋に鍵をかける”だけで安全だった時代から、
ネット接続後に一気に攻撃者側が有利となり、
「一部の富裕層(the security one-percent)」のみが高度な防御体制を持ち、多数が“サイバーポバティライン(貧困線)”付近にとどまるという構造まで掘り下げています。
この現実は今も大きく変わりませんが、
システム設計
日々の運用
ユーザー行動
まで幅広く考慮した上で、どれだけ攻撃者の優位を削ぎ、継続的に「防御側の優位化」を進めているかが真の評価軸になる、という主張は極めてロジカルです。
なぜ「攻撃者が有利」に見えてしまうのか?――巧妙化する脅威と進化する防御
記事は、攻撃者側のTTP(手法・プロセス)の変化と防御側の進化を多角的にデータで追いかけています。
以下、主なトレンドの解説と、それが業界に及ぼす意義について説明します。
1. 攻撃手法の“困難化”と攻撃インフラの短命化
“Since 2021 adversaries have shifted from easier to harder TTPs…a roughly 25 percent decrease in breaches that depended on tricking a human…”
(2021年以降、攻撃者は“楽な手口”から“より困難なTTP”へとシフト。人間をだます攻撃の割合は約25%減少)
ここで示唆されているのは、
フィッシングや標的型メールのような“人間の誤作動”に依存した攻撃が減少し、
よりテクニカルで手間のかかる攻撃へのシフトが確認されている、という点です。
2. “内部検知”の増加――セキュリティ運用の成熟
防御側の成熟度を示す最重要メトリックの1つが、「外部からの通報なしで自力で侵入を発見できる割合」の増加です。
記事中の複数レポートでは、これが明らかに向上していることが報告されています。
“Over the past few years, internal detection of breaches has risen…”
(ここ数年、内部で侵害を検知する割合が増加している)
これは、SOC(セキュリティオペレーションセンター)、EDR(エンドポイント検知・対応)、行動分析AIの組み込み普及、統合ログ分析基盤などが企業現場に根付いた証左です。
3. “検知から排除”までの時間が劇的短縮
最大の成果といえるのが「検知から攻撃者排除までのリードタイム」。
マカフィーやIBMなど大手セキュリティ企業のデータで、数年前まで“400日以上”に及んでいた追い出しまでの平均期間が、
直近では“十数日”程度に短縮したことが判明しています。
これは現場のSOC体制や監視システムが著しく進歩し、
インシデント対応力自体が組織全体で底上げされた証です。
4. ソフトウェアの安全性向上――深刻な脆弱性半減
“Veracode…found a huge jump in applications without a flaw in the OWASP Top 10…from 23 percent (2010) to 52 percent (2025).”
(OWASP Top 10該当の欠陥が全くないソフトウェアの割合が15年で23%から52%に倍増)
さらに、GoogleのAndroidではメモリ安全性に起因する脆弱性が半減するなど、
「ゼロトラスト設計」「DevSecOps」「脆弱性スキャン自動化」などの業界全体での投資・標準化が着実にリスク低減に実を結んでいる点は高く評価されるでしょう。
5. パッチ適用の効率化と“ゼロデイ”の高騰
攻撃者側が新しい脆弱性(ゼロデイ)に依存せざるを得なくなり、
さらにその発見から悪用までの期間が数日単位まで短縮してきている、というデータもディフェンダー側優位の象徴的変化といえます。
6. 被害の「不均等拡大」と中小企業の脆弱化
記事で繰り返し強調されているのは、「防御力格差」の深刻化。
大企業・グローバル企業では劇的な防御力向上が進む一方、
中小規模や脆弱なエコシステムは「サイバーポバティライン」から抜け出せず、結果的に被害の集中・格差拡大が発生しています。
また、事件総件数や損害規模が依然増加傾向であること(※後述)は、「防御側の優位」の裏で、セキュリティ投資余力や成熟度の“差”も際立つ現実を示しています。
実際の“成果”は出ているのか――事件数・被害規模のトレンドから見た現実
もっとも興味深く、かつ難解なのが「では実際に社会的被害や損失は減っているのか?」という問いです。
記事によれば――
“Despite some progress in reducing threat and vulnerability, the consequences of attacks seem to remain stubbornly high.”
(脅威・脆弱性の減少傾向にもかかわらず、被害の「結果(consequence)」は依然、高止まりのままだ)
これは一見逆説的ですが、要するに
– 攻撃と防御のイタチごっこが進化し、攻撃単価は増大
– しかし、インシデント数・経済損失総額・サプライチェーン波及範囲など社会全体への衝撃はなお深刻
という“成果の非対称性(進歩と損失のギャップ)”を物語っています。
具体的データ例
- Ransomware事件の「被害件数」増加、かつ「1件あたりの被害額」も伸長
- しかし「身代金支払い額”総計”」は減少傾向(大型攻撃の忌避、防犯体制進化によるもの)
- 米国FBIへの通報数・犯罪被害総額は継続的増加
- 企業規模格差:「トップ1%」富裕企業の被害発生率は低下も、小規模企業のリスク急増
このような“構造的偏在・分散”は今後のサイバー戦略を考える上で避けて通れない課題です。
そうは言っても大丈夫なのか?――楽観できない「レッドクイーン効果」と今後の論点
「攻撃者の淘汰」と“弱肉強食”の進行
防御の進化は攻撃者側の“選別”も促します。記事中では――
“Imposing costs leads to a survival-of-the-fittest contest, leaving fewer but fiercer predators…defenders must continue to adapt and disrupt just to keep pace—what biologists term the Red Queen effect.”
(コスト増加により“適者生存”の競争が生まれ、少数精鋭の攻撃者が残る――。防御側は“レッドクイーン効果”(進歩のためには止まらず走り続ける状態)に陥る)
と説明されます。
つまり、簡単な攻撃は潰せても、その分格段に知能化・組織化された攻撃集団の“難度アップ”が必然的に進む、という“いたちごっこ”の宿命は今後も続くということです。
「全体の減少」より「ピークインシデントの抑制」へ
注目すべきは、
サイバー脅威対策もCO2排出規制の進展に例え、“経済成長とともにインシデント発生率や被害深刻度を減少させる”という新しいゴールの提案です。
“Just as headlines now discuss ‘peak CO2,’ it is possible that we will read about ‘peak cybersecurity spending’ or ‘peak incidents’ in the future…”
(CO2削減のように、「サイバーインシデントやセキュリティ投資のピーク到達=減少傾向」も実現しうる)
対策の進化と今後の提言――実務者・経営者が今考えるべきこと
記事末尾では、「現状のフレームワークを全面的に“数値化”・“可視化”可能なベンチマークとし、政策レベルで定常的なモニタリングとレポートに組み込むべき」と提案しています。
これは、日本国内でも同様ですが、単一の“事件数”や“被害総額”だけを追うことから脱却し、
– 複合的な優位性シフトのトラッキング
– 社会インフラや弱者層の底上げ
– サイバー保険・再保険市場を活用した全体健全化
などに統合的に投資・評価体制を整える必要性を示している、といえるでしょう。
また、「ゼロデイ対応力」「SOC体制」「リスクベース運用」「サプライチェーン脆弱性管理」など先進企業レベルの取り組みにどれだけ社会全体が追いつけるかも重要なポイントです。
結論――「勝ちつつあるが、油断の余地はなし」現場と経営、双方からの目線で
この記事のメッセージを端的にまとめれば、
– サイバー防御側は確かに「数十年ぶりの優位」に入りつつある
– しかしイノベーションやリソース再分配、社会包摂・底上げ策なしには“格差と被害の温床”は残存し続ける
– データに基づく評価指標のフレームワーク化と、その社会的活用が今後の焦点
ということです。
読者に伝えたいのは、「数字」だけで一喜一憂せず、
“どの層にどう優位性が移っているのか”“自社の防御力はどのレベルか”を多角的かつ構造的に見ていく視野の広さこそ必須だという点です。
まさにサイバーセキュリティは「システム闘争」。
“個別撃退”から“持続的優位性移転”の時代が来ています。
categories:[security]
コメント